Механизм отделения пользователей в корпоративной сети
Авторы: Рожлейс Илона Андрисовна, Суханов Семён Валерьевич
Рубрика: 4. Информатика
Опубликовано в
LI международная научная конференция «Исследования молодых ученых» (Казань, декабрь 2022)
Дата публикации: 28.12.2022
Статья просмотрена: 44 раза
Библиографическое описание:
Рожлейс, И. А. Механизм отделения пользователей в корпоративной сети / И. А. Рожлейс, С. В. Суханов. — Текст : непосредственный // Исследования молодых ученых : материалы LI Междунар. науч. конф. (г. Казань, декабрь 2022 г.). — Казань : Молодой ученый, 2022. — С. 1-5. — URL: https://moluch.ru/conf/stud/archive/472/17679/ (дата обращения: 16.12.2024).
В статье приведён механизм авторизации в корпоративной локальной сети из глобальной сети Интернет.
Ключевые слова: авторизация, гипервизор, honeypot.
В современном мире взаимодействие между различными информационными объектами происходит как на уровне локальной сети, так и на уровне глобальной сети Интернет. В рамках локальной сети для обеспечения безопасности при информационном обмене данными используются более простые механизмы защиты информации, которые являются лишь частью мер при информационном обмене в глобальных сетях. Частным примером взаимодействия информационных объектов является взаимодействие между одной локальной сетью с другой локальной сетью через глобальные сети Интернет. Одним из механизмов защиты такого взаимодействия является VPN соединение, которое представляет собой туннель между одной локальной сетью и другой, доступ к которому ограничен лицами, имеющими соответствующие ключи доступа. Однако такой способ не всегда является эффективным (часто VPN подключение может замедлять скорость информационного обмена, некоторые VPN-провайдеры могут рассекретить конфиденциальную информацию, кроме того, хороший и надежный VPN-сервис стоит денег). Кроме того, авторизация в различных сервисах может проходить по различным сетевым протоколам, таким как ssh, telnet, http, и т. д., однако все они могут быть подвергнуты различным видам атак [1–4].
Одним из способов защиты информации по локальной сети — это применение сетевых приманок, или honeypot [5]. Задача honeypot — имитация реальной сети и отвлечение внимание злоумышленника от ресурсов корпоративной сети. Сетевые приманки намеренно создают уязвимыми, чтобы повысить их привлекательность для злоумышленников. К примеру, используют пароли с низкой надёжностью, или порты, обнаруживаемые при помощи сканирования, оставляют открытыми. Так возрастает вероятность срабатывания приманки для отвлечения злоумышленника от защищаемых реальных информационных систем. Однако, большинство сетевых приманок — это программные средства, которые лишь имитируют действие реальных объектов, что рано или поздно приведет к их компрометации и неактуальности.
Одним из вариантов построения сетевой приманки — применение средств виртуализации, для чего применяется гипервизоры. Гипервизор это программа, которая управляет физическими ресурсами вычислительной машины и позволяет управлять виртуальными машинами. Виртуальная машина — это полноценная операционная система, которая управляется по средствам гипервизора, которая не является программной эмуляцией. Таким образом, при попадании в виртуальную машину создается впечатление, что пользователь находится на полноценном компьютере в сети. Принцип функционирования гипервизора приведён на рисунке 1.
Рис. 1. Принцип работы гипервизора
В контексте рисунка хостовая операционная система — это операционная система, которая установлена на реальной вычислительной машине. Гостевая операционная система устанавливается непосредственно на виртуальную машину. Таким образом эмулируемая сеть (сеть из виртуальных машин) подключаются к сети Интернет, к которой может получить доступ злоумышленник, а хостовая машина к Интернет доступ не имеет.
На основании вышеизложенного схема авторизации будет выглядеть следующим образом (рисунок 2).
Рис. 2. Схема авторизации
В соответствии со схемой и реальная и эмулируемая сеть подключаются к устройству маршрутизации, которое подключено к сети Интернет. В эмулируемой сети виртуальным машинам назначаются аналогичные ip-адреса, что и у машин в реальной сети. К маршрутизатору подключается сервер авторизации, который принимает весь трафик из внешней сети Интернет.
У легитимного пользователя устанавливается клиент авторизации, в котором он указывает логин и пароль для доступа в корпоративную сеть. Для каждого клиента настраивается уникальный ключ аутентификации, который хранится на самой машине. Сервер авторизации содержит базу данных пользователей и их ключей.
По умолчанию весь трафик из сети Интернет направляется в эмулируемую сеть, и как только на сервер авторизации приходит пакет с корректными данными авторизации, то маршрутизатор этот трафик начинает перенаправлять в реальную сеть. Таким образом, злоумышленник, у которого отсутствует клиент авторизации, попытается обратиться в реальную сеть, но попадет только в эмулируемую. Даже зная ip-адреса машин из реальной сети злоумышленник не сможет понять, что он находится в виртуальной сети.
Основным преимуществом данной схемы то, что становится невозможным сделать доступ в корпоративную сеть с применением любого другого оборудования путем установки на него клиентской программы (даже в случае подмены MAC-адреса), так как ключ аутентификации не передается по сети и недоступен для чтения пользователем на самой клиентской машине.
Литература:
1. Власенко А. В. Анализ уязвимостей и моделирование атак на данные трафика «https» / Власенко А. В., Дзьобан П. И. — Текст: непосредственный // Вестник АГУ. — 2017. — № 2. — C. 109–115.
2. Акулов А. А. Подмена SSL-серитификатов как средство перехвата зашифрованного трафика / Акулов А. А., Галушка В. В. — Текст: непосредственный // Символ науки. — 2018. — № 1–2. — С. 19–21.
3. Telnet должен быть закрыт. — Текст: электронный // Хабр: [сайт]. — URL: https://habr.com/ru/company/kaspersky/blog/424259/ [дата обращения 01.12.2022).
4. Как перехватить SSH пароль. Текст: электронный // HackWare: [сайт]. — URL: https://hackware.ru/?p=10308 [дата обращения 01.12.2022).
5. Подробное руководство по Honeypot. — Текст: электронный // Хабр: [сайт]. — URL: https://habr.com/ru/company/alexhost/blog/528796/ [дата обращения 01.12.2022).
Похожие статьи
Подход к массовой регистрации клиентов обслуживающей компании в информационной системе типа Service Desk
В статье авторы рассказывают о практическом применённом опыте массовой регистрации пользователей в информационной системе поддержки пользователей.
Проблема защиты веб-сервера интернет-магазинов
В статье авторы рассматривают проблему настройки сервера для защиты интернет-магазина.
Обеспечение безопасного доступа и управления идентификацией веб-приложений
В статье рассматривается Kеyсloak — сервис управления идентификацией и доступом с открытым исходным кодом. Его использование упрощает разработку безопасности веб-приложения практически без кода.
Контейнеризация как современный способ виртуализации
В данной статье рассматривается контейнеризация как эффективный способ виртуализации для различных приложений (сервисов). Также приведен пример создания простейшего dokcer контейнера.
Исследование уязвимостей протокола OAuth
В статье авторы пытаются определить основные уязвимости в открытом протоколе авторизации — OAuth. Рассматривают критичные уязвимости, найденные в популярных сервисах.
Защита корпоративных сетей от внутренних атак
В данной статье исследуется разработка корпоративной сети на базе технологии Multiprotocol Label Switching (MPLS) и стратегии защиты от атак типа Address Resolution Protocol (ARP) spoofing и троянских программ [1]. Основой стратегии безопасности служ...
Многофакторная аутентификация
В статье автор пытается определить необходимость в использовании многофакторной аутентификации на любых устройствах.
Разработка сервиса подачи заявок для пользователей и передачи в консоль
В данной статье описывается альтернативный метод создания заявки, в котором оптимизируется взаимодействие между пользователем и специалистом, сокращается время на создание заявки, автоматизируется процесс передачи заявки между двумя системами.
Генерация одноразового пароля для аутентификации пользователей в клиент-серверных системах
В статье представлены результаты исследования по разработке модели генератора псевдослучайных чисел для усиления аутентификации в клиент-серверных системах.
Похожие статьи
Подход к массовой регистрации клиентов обслуживающей компании в информационной системе типа Service Desk
В статье авторы рассказывают о практическом применённом опыте массовой регистрации пользователей в информационной системе поддержки пользователей.
Проблема защиты веб-сервера интернет-магазинов
В статье авторы рассматривают проблему настройки сервера для защиты интернет-магазина.
Обеспечение безопасного доступа и управления идентификацией веб-приложений
В статье рассматривается Kеyсloak — сервис управления идентификацией и доступом с открытым исходным кодом. Его использование упрощает разработку безопасности веб-приложения практически без кода.
Контейнеризация как современный способ виртуализации
В данной статье рассматривается контейнеризация как эффективный способ виртуализации для различных приложений (сервисов). Также приведен пример создания простейшего dokcer контейнера.
Исследование уязвимостей протокола OAuth
В статье авторы пытаются определить основные уязвимости в открытом протоколе авторизации — OAuth. Рассматривают критичные уязвимости, найденные в популярных сервисах.
Защита корпоративных сетей от внутренних атак
В данной статье исследуется разработка корпоративной сети на базе технологии Multiprotocol Label Switching (MPLS) и стратегии защиты от атак типа Address Resolution Protocol (ARP) spoofing и троянских программ [1]. Основой стратегии безопасности служ...
Многофакторная аутентификация
В статье автор пытается определить необходимость в использовании многофакторной аутентификации на любых устройствах.
Разработка сервиса подачи заявок для пользователей и передачи в консоль
В данной статье описывается альтернативный метод создания заявки, в котором оптимизируется взаимодействие между пользователем и специалистом, сокращается время на создание заявки, автоматизируется процесс передачи заявки между двумя системами.
Генерация одноразового пароля для аутентификации пользователей в клиент-серверных системах
В статье представлены результаты исследования по разработке модели генератора псевдослучайных чисел для усиления аутентификации в клиент-серверных системах.